数据的掌控和处理：GDPR对控制者和处理者的要求

GDPR第四章“控制者和处理者”主要涉及数据的控制者和处理者的义务与相应的法律责任。根据GDPR第4条上的定义,控制者(controller)是指单独或联合其他方决定了数据处理目的和方法的主体,包括自然人、法人,公共机构等机构或者其他实体;处理者(processor)是指代表控制者进行数据处理的主体,包括自然人、法人、公共机构等机构或者其他实体。需要指出的是,DPD中已经有控制者和处理者这两个概念,然而,DPD中的绝大部分要求是针对控制者提出的,处理者主要依据其与控制者之间的合同承担数据保护方面的义务,GDPR则将处理者一并加以规范,尤其需要注意的是,根据GDPR第28条第10款,若处理者因确定处理的目的和方式而违反GDPR的规定,则就该处理而言,处理者应当被视为控制者。

GDPR第24条至第31条详细规定了控制者和处理者的一般义务,大致包括：控制者应根据处理的性质、范围、背景和目的,各种可能的风险的严重程度以及自然人权利和自由,实施适当的技术和组织措施,以确保根据GDPR的规定进行数据处理,并能够对此加以证明;控制者应实施适当的技术和组织措施以确保在默认方式下仅处理对于处理的具体目的有必要的个人数据,此义务适用于收集的个人数据的数量、处理的范围、个人数据存储的期限和个人数据的可访问性;当数据处理由处理者代表控制者进行时,控制者应仅使用提供了充分保证的处理者;如果没有控制者的指示,处理者不得处理有关数据,除非欧盟法律或成员国国内法律要求处理;控制者和处理者之间的合同应包含处理的主旨和期限、处理的性质和目的、个人数据的种类和数据主体的类型、控制者的义务和权利等内容;如果没有控制者的书面授权(包括概括授权和具体授权),处理者不得雇用其他处理者,即使控制者的授权是概括授权,处理者也应将准备增加或替换的其他处理者告知控制者,从而给予控制者反对此类更改的机会;控制者和处理者应将违反个人数据安全规定的情况报告监管机构,告知数据主体,且配合监管机构履行职务;在数据处理服务终止时,处理者应当删除数据或将数据全部返还给控制者,除非处理者根据欧盟法律或成员国国内法律的要求必须保留这些数据;控制者和处理者不设于欧盟时,其应以书面形式指定一个在欧盟内的代表,等等。

与DPD相比,GDPR在很大程度上简化了数据控制者和处理者日常的合规负担(特别是去除了目前欧盟各成员国国内法上关于数据处理及跨境转移的许可或者备案程序),取而代之的,是要求数据的控制者和处理者在其内部通过如下制度的建立来落实GDPR的有关规定。

(1)数据保护官制度。根据GDPR第37条第1款,在以下几种情形之下,控制者或处理者必须指定一名数据保护官(Data Protection Officer,DPO)。其一,数据处理由公共机构或实体(司法机关除外)进行。其二,控制者或处理者的主要操作,基于此种操作的性质、服务或目的,需要对数据主体进行定期的以及系统性的监控。其三,控制者或处理者的主要活动是依据GDPR第9条处理特殊类型的个人数据(主要是敏感数据,包括种族或民族出身,政治观点、宗教或哲学信仰,工会成员的个人数据,以及以识别唯一自然人为目的的基因数据、生物特征数据,健康、自然人的性生活或性取向的数据),或者依据GDPR第10条处理与犯罪记录或违法行为相关的个人数据。

按照GDPR第37条第6款的规定,数据保护官既可以是控制者或处理者的员工,也可以是根据其与控制者或处理者的合同执行职务的人(即并非控制者或处理者的员工)。GDPR第37条第2款、第3款规定,一个企业集团可以仅指定一名数据保护官,但前提是集团内的每个企业都能够方便地联系他;控制者或处理者如果是公共机构或实体,根据有关公共机构或实体的组织规模,也可以由多个公共机构或实体共同指定一名数据保护官。

关于数据保护官应该具备的职责,GDPR第39条第1款有如下规定：①依据GDPR、欧盟法律或其成员国法律告知控制者、处理者及其进行数据处理的雇员他们的义务;②监督GDPR、欧盟法律或其成员国法律、控制者和处理者关于个人数据的相关政策的遵守情况,包括职责分配、意识提升、参加数据处理的雇员的培训以及相关审计等活动;③于必要时,对数据保护影响评估提出改进建议并根据GDPR第35条的规定监督其执行;④与监管机构配合;⑤就与数据处理相关的事项作为监管机构的联系点,这些事项包括GDPR第36条所述的事先咨询或者其他任何恰当事项的咨询。GDPR第39条第2款还规定,数据保护官在执行任务时,应根据数据处理的性质、范围、背景和目的充分考虑与处理操作相关的风险。

根据GDPR第37条第5款的规定,数据保护官必须具备专业素养,特别是数据保护专业知识、实践经验以及完成GDPR第39条所要求的任务的能力。

有研究者指出,数据保护官制度的设置,主要是为了通过数据保护官监测企业的活动,确保控制者和处理者遵从GDPR,数据主体通过联系数据保护官可以行使他们的权利,同时,数据保护官也扮演了控制者和处理者与监管机构之间的联系人和合作者的角色^[11]。这些评价恰当地指出了数据保护官制度在GDPR关于控制者和处理者应当在其内部建立的数据保护机制中的枢纽地位。(www.xing528.com)

(2)安全保障制度。GDPR第32条对于安全保障(security of processing)制度做出具体规定,强调其应当包含以下措施：①对个人数据的假名化和加密;②确保处理系统和服务的持续保密性、完整性、可得性和适应性的能力;③在发生物理或技术故障的情况下及时恢复个人数据可得性和适应性的能力;④定期测试、评估和评价确保处理安全的技术措施和组织措施的有效性的程序。GDPR第32条还特别指出,在评估适当的安全等级时,应特别考虑处理所造成的风险,特别是传输、存储或以其他方式处理个人数据的意外或非法毁坏、丧失、更改、未经授权的披露或访问。

(3)数据保护影响评估制度。GDPR第35条规定,若根据处理的性质、范围、背景和目的来看,某一类处理特别是使用新技术的处理可能导致对自然人权利和自由造成高风险,则控制者应在处理之前就预期处理操作对个人数据保护的影响进行评估。此种评估即为数据保护影响评估(data protection impact assessment,DPIA)。GDPR没有对何为“高风险”进行界定,但要求在以下情形下,应当进行数据保护影响评估：①对与自然人相关的个性化方面进行系统和广泛的评估,该评估以自动化处理(包括“特性分析”)为基础,且据其作出的决定产生与该自然人相关的法律影响或对该自然人有类似的重要影响;②对大量敏感数据的处理;③对可公开访问的区域的大规模系统性监控。

(4)事先咨询制度。GDPR第36条规定,若数据保护影响评估显示,控制者不采取措施降低风险的话,处理将带来高风险,则控制者在进行处理之前应当咨询监管机构。此种咨询即为事先咨询(prior consultation)。监管机构应当在收到事先咨询申请及相关材料后的特定期限内提供书面建议,并可以采取纠正措施。另外,对于控制者为符合公共利益的要求进行的处理,包括与社会保护和公共卫生相关的处理,根据GDPR第36条的规定,成员国法律也可以要求控制者咨询监管机构并事先得到监管机构的认可。

(5)数据安全报告制度。发生GDPR所规定的违反个人数据安全规定的情况时,控制者应当报告的对象主要也是监管机构,但对数据主体而言,控制者亦须告知其类似的内容。

GDPR第33条规定,控制者应记录任何违反个人数据安全规定的情况,内容包括与违反个人数据安全规定的情况相关的事实、影响和采取的纠正措施。一旦发生违反个人数据安全规定的情况,控制者应当无不当延迟地报告监管机构,如果可能,应不超过72小时,除非此种情况不可能对个人的权利和自由造成风险;若未在72小时内报告监管机构,则后续报告应当说明延迟报告的理由。报告的内容至少应当包含以下方面：①违反个人数据安全规定的情况的性质,如果适当的话,还应包括相关数据主体的类型和大概数目以及相关个人数据的种类和大概数目;②数据保护官的姓名和详细联系信息或可获得更多信息的其他联系点;③违反个人数据安全规定的情况可能造成的后果;④控制者采取或拟采取的应对措施,如果适当的话,还应包括消除可能产生的不利影响的措施。而处理者在获知违反个人数据安全规定的情况后,也应及时告知控制者,不得有不当延迟。

GDPR第34条规定,若违反个人数据安全规定的情况可能对自然人的权利和自由造成高风险,则控制者应及时将此情况告知数据主体,不得有不当延迟,且在进行此种告知时应使用清楚直白的语言对违反个人数据安全规定的性质作出描述,告知的内容须至少包括GDPR第33条规定的报告所应具备的第二项至第四项内容。如果控制者采取了适当的保护措施,特别是采取的措施(如加密)使得数据不能够被未获访问授权的人理解,或者其后续采取的措施能够使上述高风险不会变为实际的后果,或者其需要付出与告知需要不相称的努力,则控制者无需向数据主体进行告知,但在最后一种情况下,控制者应使用大众传播方式或能以相同效果告知数据主体的类似措施代替告知。若控制者尚未将违反个人数据安全规定的情况告知数据主体,监管机构可根据违反个人数据安全规定的情况造成高风险的可能性,要求控制者告知数据主体,或要求控制者确保存在无需向数据主体进行告知的情况。